4.6 /etc/servicesl 确保文件权限设置为600
l 确保文件属主设置为root
l 如果需要提供一些常见服务,如telnetd等,可以在此修改端口
此文件为端口号和服务的对应关系,给此文件加上保护,避免没有授权的修改和删除
[root@deep]# chattr +i /etc/services
4.7 /etc/aliasesl 修改/etc/aliases文件,注释掉"decode" "games,ingress,system,toor,manager,….”.等
l 使用/usr/bin/newaliases命令激活新配置
l 确保文件权限设置为755
l 确保文件属主设置为root
4.8 NFSNFS文件系统应注意以下几方面的安全
l 在外部路由上过滤端口111、2049 (TCP/UDP),不允许外部访问 。
l 检查PATCH更新情况 。
l 检查 /etc/exports 输出路径的权限,确定只有root能修改, all user只能read
l 用exportfs 去增加或删除directories
exportfs -o access=engineering,ro=dancer /usr
exportfs -u /usr
l 假如你的机器没有NIS(YP server)的服务,当更改资料时记得修改
/etc/passwd
/etc/group
/etc/hosts
/etc/ethers
l 不允许export出去包含本地入口的目录
l 确定对方机器是完全可信赖的 。使用全名
l 确保输出列表没有超过256个字符 。
l 使用showmount –e命令查看自己的export设置
l 将/etc/exports权限设置为644,属主为root
l 使用noexec,nodev.nosuid等选项控制mount的文件系统,在/etc/fstab中设置 。
4.9 Trivial ftp (tftp)无论何种情况下都不应该启动这个服务进程 。
4.10 Sendmailsendmail提供了许多在编译期间选择的功能特性 。通常情况下,按照其缺省配置,即可满足一般用户的需要 。但是,了解研究其提供的特性,可以实现对sendmail许多功能的更为准确的配置使用 。从网络安全的角度考虑,通过合理地配置有关特性,可以在提供服务和保证安全之间找到更为准确的平衡点(配置特性的方法是将需要的特性加入到相应系统的.mc文件中,然后利用工具m4生成最终的sendmail.cf文件 。目前最新版本是sendmail8.11.1.(www.sendmail.org)
l 最新的发行包
l promiscuous_relay:该特性打开任意转发功能,也即关闭8.9带来的邮件转发方面的安全增强控制 。此特性的使用会对电子邮件服务的滥用留下许多隐患,建议除非特别情况,不要使用此特性 。
l accept_unqualified_senders:缺省情况下,该特性被关闭,即当MAIL FROM:参数中的地址表明属于网络连接,但是却不包含合法的主机地址时,sendmail将拒绝继续通信 。打开此特性则不再根据MAIL FROM:参数拒绝接收邮件 。建议不可轻易使用该特性 。
l loose_relay_check :通常情况下,当邮件使用了源路由功能,例如user%site@othersite,如果othersite属于转发邮件的范围,则sendmail将分离othersite,继续检查site是否属于转发范围.使用该特性将改变上述缺省操作.建议不要轻易使用该特性
l accept_unresolvable_domains :通常情况下,当MAIL FROM:参数中的主机地址部分无法解析,即无法判定为合法主机地址时,sendmail将拒绝连接.使用该特性将改变上述操作. 在某些情况下,例如,邮件服务器位于防火墙后面,无法正常解析外部主机地址,但是仍然希望能够正常接收邮件时,可能需要利用该特性.
l blacklist_recipients :打开接收黑名单功能 。接收黑名单可以包括用户名、主机名、或其它地址 。
l relay_entire_domain :缺省配置下,sendmail只为在转发控制数据库(access db)中定义为RELAY的主机提供转发邮件服务. 该特性的使用,将使sendmail为本地域内(由$=m类定义)的所有主机上面的用户提供转发功能
l sendmail的受限shell程序smrsh可以防止内部用户恶意操作 。
l 防止系统信息泄漏,如修改banner,禁止expn,vrfy命令
l 建议配置为需要smtp认证功能 。
l 其他相关的mailserver
qmail: www.qmail.org
postfix: www.postfix.org
qpop: http://www.qpopper.org/
Imail:http://www.imailbox.com/
4.11 fingerl 不应该启动这个服务进程 。
l 如果一定要使用,请使用最新的版本 。
4.12 UUCPl 建议不要使用
l 删除所有的rhosts文件(UUCP目录下的)
l 确保.cmds 文件属主为root
l 对UUCP登陆进行限制
l 确保UUCP文件没有被设置为所有人可写
4.13 World Wide Web (WWW) – httpdl 使用你选择的WEBSERVER的最新版本
l 不要使用ROOT用户运行httpd
l 在chroot环境中运行httpd
l 尽量不要使用CGI脚本
l 对CGI脚本进行安全审计
推荐阅读
- centos7安全加固方案
- Linux Shell中单引号、双引号、反引号的解释
- Linux系统中shell命令执行过程
- 浅谈Go定时器应用
- 在Windows和Linux中找出磁盘分区使用的文件系统,就是这么简单
- Linux环境下100个开源免费专业软件推荐之17款产品应用软件1-10
- Sequence Lock Linux同步原语之顺序锁
- Linux系统扩展oracle数据库所在的分区
- 过安全狗 记一次艰难的SQL注入
- Linux常用监视和故障排查命令详解